none
信頼関係を結んだフォレスト間でのユーザ参照 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ・Aドメイン(Aフォレスト) AD:Server2008R2:機能レベル2003で構成
    ・Bドメイン(Bフォレスト) AD:Server2003R2:機能レベル2003で構成
    ・両ドメイン、クライアントPCはXPproで構成
    ・両ドメイン間にファイアウォールが設置してあり、AD同士は全て通信可能


    以上の構成で双方向のフォレスト間信頼関係を結んでいます。
    DNSの条件付きフォワーダ設定も完了しています。

    各サーバ上でアクセス権の設定を行う際、両ドメインのユーザが参照できるのですが、
    各クライアントPCからはお互いのドメインユーザを参照できません。

    詳しく言うと、フォルダのセキュリティの設定で、追加するオブジェクトの場所を選択する際、
    自ドメインしか表示されず、信頼関係を結んだドメインが選択肢に出て来ません。

    クライアントPCでお互いのドメインユーザが参照できるようにするには
    何か特別な設定が必要でしょうか?


    稚拙な質問で申し訳ございませんが、よろしくお願い致します。

    2012年3月29日 2:51
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    試験問題作成委員会様


    返信有難う御座います。
    そちらの投稿は確認いたしました。
    しかし、私が勤務している会社ではXP(自分でセットアップ済)で信頼関係を結んでいるフォレストの
    全ドメインユーザが検索できます。
    社内情シスに尋ねても、従来の信頼関係締結の事以外は何もしていないとの事だったので、
    こちらに質問させて頂いた次第です。


    >うえの過去の投稿にあるように、条件付きフォワーダで信頼関係を構築した場合、クライアントから既定で相手側のドメインが検索できるのはVista Business
    >以上で、XP Proの場合にはAdminpak.msiをインストールしdsqueryコマンドで相手側ドメインのActive Directoryオブジェクトを検索しないと見えません。


    上記の内容についてオフィシャルなコメント若しくはKBはありますでしょうか?
    2012年3月30日 1:47
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    信頼関係を結んだドメイン間で、「ドメインコントローラ同士は相互のユーザーが見られるが、クライアントからはそれができない」んですよね?

    これですが、条件として、クライアントが「相手側ドメインのドメインコントローラに直接IP通信できる」ようになっているでしょうか?信頼関係のドメインアカウントを参照するには、自ドメインのドメインコントローラの紹介で「相手側ドメインのドメインコントローラ」から直接情報取得します。自ドメインのドメインコントローラがプロキシ的(代理応答)に動作してはくれないので、注意してください。

    ですから、

    >うえの過去の投稿にあるように、条件付きフォワーダで信頼関係を構築した場合、クライアントから既定で相手側のドメインが検索できるのはVista Business
    >以上で、XP Proの場合にはAdminpak.msiをインストールしdsqueryコマンドで相手側ドメインのActive Directoryオブジェクトを検索しないと見えません。

    このような話はありません。完全に無関係です。

    2012年4月5日 0:59
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご質問から日数が経っているのでいまさらなのですが、信頼関係を結んだフォレスト間で、(XPクライアントではないのですが)Server 2003 R2のメンバーから、マイネットワークの「Active Directoryの検索」からは相手側のドメインの山が出ないため相手側のドメインのユーザー(など)は参照できないのですが、共有フォルダの「セキュリティ」タブからは相手側のドメインのユーザー、セキュリティグループは参照できて、共有フォルダのアクセス制御リストに追加できているので、XPクライアントの場合にはAdminpak.msiをインストールしdsqueryコマンドで相手側ドメインのActive Directoryオブジェクトを検索しないと見えません。ということではありませんでした。

    KBとしてはリンク先の投稿の三澤さんが紹介しているhttp://support.microsoft.com/kb/878452/en-usになるのでしょう。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)



    2012年4月6日 12:42
    |
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーン様

    ご返信有難う御座います。

    >信頼関係を結んだドメイン間で、「ドメインコントローラ同士は相互のユーザーが見られるが、クライアントからはそれができない」んですよね?

    そのとおりです。

    >これですが、条件として、クライアントが「相手側ドメインのドメインコントローラに直接IP通信できる」ようになっているでしょうか?信頼関係のドメインアカウントを参照するには、自ドメインのドメインコントローラの紹介で「相手側ドメインのドメインコントローラ」から直接情報取得します。自ドメインのドメインコントローラがプロキシ的(代理応答)に動作してはくれないので、注意してください。

    これなのですが、私が体験している環境ではクライアントPCは相手側DCに直接アクセスできないようにFWで制限していますが、
    社内情シスでパケットキャプチャした際、アクセス権の設定から場所を選択し、相手ドメインが見えている段階までは、
    自ドメインのDCとしか通信しておらず、相手ドメインを展開して初めて相手側DCへの通信が走るのを確認しました。
    ですので、もしクライアントPCから相手側DCへの通信が制限されていても、一覧には相手側ドメインが見えないとおかしいのでは?
    というのが私の見解です。
    2012年4月10日 4:15
    |
  • Question
    サインインして投票
    0
    サインインして投票
    試験問題作成委員会様

    ご返信有難う御座います。
    そのKBですが、該当がXP SP2までですが、SP3になって改善されているということはないんですよね?
    2012年4月10日 4:16
    |
  • Question
    サインインして投票
    0
    サインインして投票

    わかる範囲で回答するとしたら、XP SP3の場合でもしたの資料やMSページのように理解していますが回答された方や識者の方よりの回答を待ってみてほしいと思います。
    http://itpro.nikkeibp.co.jp/article/COLUMN/20060214/229299/
    http://technet.microsoft.com/ja-jp/library/cc757197(v=ws.10).aspx

    ちなみに日本語訳されたKB(http://support.microsoft.com/kb/878452/ja-jp)を私なりに解釈すると、
    したのページ(一例ですが)のA-G-U-DL-Pポリシーのことを言っているように思います。
    http://ascii.jp/elem/000/000/505/505060/index-2.html

    (MSページでは)
    グループのスコープ
    http://technet.microsoft.com/ja-jp/library/cc755692(v=ws.10).aspx
    グループをネストする
    http://technet.microsoft.com/ja-jp/library/cc776499(v=ws.10).aspx

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    2012年4月10日 14:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    私が認識していたのは「アクセス許可に信頼先ドメインのアカウントを指定すると、そのアカウント情報を取得する際、信頼先のドメインコントローラから直接情報を取得する」ということでした。

    アクセス権の設定から場所を選択し、相手ドメインが見えている段階までは、自ドメインのDCとしか通信しておらず、

    この状況、どういう状態を指しておられるでしょうか?よろしければ、手順の詳細をお教え願えますか?分かる範囲でお答えします。

    2012年4月11日 1:02
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    外していたら申し訳ないのですが、
    XPクライアントが、Sever 2008(Server 2008 R2)ドメインに参加した場合、
    netshコマンドでWindows firewallのプロファイルをみたところ、「STANDARD Profile」になっている。(Server 2003 R2メンバー、Vistaの場合はDOMAIN Profileになっている。)
    (netshコマンドWindows firewallのプロファイルを調べる方法についてはしたの@ITの資料参照。)
    http://www.atmarkit.co.jp/fwin2k/win2ktips/895fwprof/fwprof.html

    XPクライアントの「共有フォルダのアクセス許可」に信頼先ドメインのアカウントを指定すると、そのアカウント情報を取得する際、信頼先のドメインコントローラから直接情報を取得できない。(Server 2003 R2メンバー、Vistaの場合は信頼先のドメインコントローラから直接情報を取得できる。) 「共有フォルダのアクセス許可」を設定する際に信頼先ドメインの山が見えなければ、「[信頼先ドメインのユーザーまたはグループ名]@[信頼先ドメイン名](xxx.co.jp[など])」 と直接オブジェクト名を指定すれば信頼先ドメインのアカウントにアクセス許可を与えることはできますが。

    XPクライアントが、Sever 2003 R2ドメインに参加した(信頼先もSever 2003 R2ドメインの)時は、Windows firewallのプロファイルが「DOMAIN Profile」になっていたことは記憶にあり、この問題はなかったのですが。
    したのMSブログにあるようですが・・・。
    http://blogs.technet.com/b/jpntsblog/archive/2009/07/01/windows-windows-xp.aspx

    MSの回答または識者よりの回答を待ってみられるのが良いように思います。 

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)






    2012年4月13日 23:57
    |